东塔攻防世界CSRF的Get型

最新推荐文章于 2024-03-14 09:57:20 发布
最新推荐文章于 2024-03-14 09:57:20 发布
阅读量1.7k 收藏 1
点赞数
文章标签: 网络安全 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51646864/article/details/120657723
版权

CSRF跨站点请求伪造(Cross-Site Request Forgery)

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

靶场练习:

1、点开环境,发现已经给了几个账号,密码默认为123456,如下图
在这里插入图片描述
2、先用vince用户登录进入如下界面
在这里插入图片描述
3、修改个人信息并用bp抓包拦截
在这里插入图片描述
4、接下来进行CSRF Poc生成
在这里插入图片描述
在这里插入图片描述

5、创建csrf文件txt文件,将上一步生成的CSRF HTML代码复制到csrf.txt中,修改文件后缀名为csrf.html
在这里插入图片描述
6、在另一个浏览器中用allen登录
在这里插入图片描述
7、当用户allen点击csrf.html这个网页,提交请求时,allen的手机号和性别就会被篡改。如下图。
在这里插入图片描述
以上为靶场练习,实际更严重的话还可以修改登录密码等敏感信息。

防御方式:
1、验证 HTTP Referer 字段

2、在请求地址中添加 token 并验证

3、在 HTTP 头中自定义属性并验证

遥远之空
关注
大桥东塔桩基冻结法施工技术.docx
12-04
在大桥东塔桩基施工中,由于地质水文条件复杂,传统钻孔灌注桩方法面临诸多挑战,如大直径桩的成孔困难、变截面施工风险以及施工进度受限等问题。因此,采用了冻结法人工挖孔灌注桩方案。 冻结法施工的核心是利用...
东塔攻防世界—xss绕过安全狗
内心不种满鲜花就会长满杂草
06-28 1214
东塔攻防世界—xss绕过安全狗
在哔哩哔哩上线了高点击率的靶场视频之后,我们决定...
m0_48520508的博客
12-18 750
还记得我们上个月上传在B站的一个入门必刷靶场视频吗? 面对7000+的播放量,塔塔子陷入了思考 沉迷于东塔靶场学习平台,对学习细胞进行云调动 东塔靶场不也上线了吗?快介绍介绍 安排! “东塔攻防世界靶场” 正式上线啦 前段时间看了塔塔子上传的入门必刷靶场视频后 初学者们是否正在到处寻找更多练手的平台? 是否为搭建各种环境而苦恼? 以上的问题都通通不是问题 东塔网络安全学院带着“东塔攻防世界靶场” 高调向你走
CSRF详解及其利用方式(get方式)
读书 买花 长大
11-28 1914
CSRF-csrf
csrf 的get和post方式的利用
mastergu2的博客
08-10 7042
CSRF的简单介绍 引用一下pikachu的官方描述: CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。 这里列举一个场景解释一下,希望能够帮
网络安全CSRF漏洞原理和实战,以及CSRF漏洞防护方法
Scalzdp的专栏
11-08 2923
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
沈阳东塔跨浑河桥钢结构施工方案.doc
11-20
主桥钢箱梁采用了整体式带挑臂扁平箱断面设计,宽度在43.3米至48米之间变化,高度为3米。在锚固段,梁宽保持43.3米,而梁高在锚固处局部增加到4.8米,以增强结构稳定性。配重跨无索区的宽度为40米,梁高2.3米,以...
应用BIM技术提升广州东塔项目总包管理水平(杨玮).pptx
09-22
广州东塔项目作为一个超高层建筑,其总包管理面临着诸多难题。首先,在进度管理方面,由于项目规模宏大、专业交叉复杂,导致进度编制和跟踪困难,同时配套工作管理和作业面协调问题频发。合同管理上,合同信息分散,...
应用BIM技术提升广州东塔项目总包管理水平.pptx
10-03
"应用BIM技术提升广州东塔项目总包管理水平" 本资源摘要信息是基于应用BIM技术提升广州东塔项目总包管理水平的pptx文件,主要涵盖了项目管理中的难题、BIM解决思路、主要系统介绍和应用效果总结等方面。 一、项目...
非光学太阳能跟踪器(东塔2.4KW)-项目开发
03-30
在"东塔2.4KW"项目中,这种跟踪器的设计目的是提高太阳能发电系统的功率输出,减少因阳光直射角度不佳导致的能量损失。 该项目的核心在于计算太阳在地球上的位置,这是通过使用天文学算法实现的。这些算法通常考虑...
网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
yinjiyufei的博客
01-14 3294
网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
史上最详细系列--攻防世界web(新手7-12)
weixin_43911311的博客
03-30 980
7.simple_php php简要学习 <?php ?> 这是基本格式 2.show_source() 函数对文件进行语法高亮显示。 高亮显示原文件如同我们看见的这样 3.include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。 将config.php文件的内容复制到此文件 4.a=@a=@a=@_G...
CSRF漏洞原理攻击与防御(非常细)
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-14 3885
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF 攻击的应对之道
sarck3的专栏
02-12 1095
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
攻防世界(web高手进阶区)——32~44题
weixin_43610673的博客
08-04 2589
题号会变动可能不太一样 目录Web_php_wrong_nginx_configCommentZhuanxvWeb_python_block_chainics-02love_mathWeb_python_flask_sql_injection/register路由/edit_profile路由FilemanagerBilibiliSmartyTriangleTimeKeepereasylaravel Web_php_wrong_nginx_config 直接尝试登录,另修改isLogin=1 无效 有r
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
攻防世界 web 进阶 Website
weixin_42499640的博客
08-13 671
打开网页 注册一个用户 使用注册的用户登陆 get flag 提示no admin, no flag XP 使用admin帐户才能得到flag 抓个包看看怎么改包能伪造admin 两个关键参数 username , csrftoken username是加密过的 csrftoken:为了防止跨站域请求伪造,有的网站请求中会加入这个验证,在登录及登录后续的操作都会让你携带csrftoken,问...
广州东塔项目工程——安全文明监理实施细则及工程概况总结
根据提供的内容,广州东塔项目是位于珠江新城CBD中心地段的工程项目,总用地面积约为2.6万平方米,包括主屋、裙楼和4层地下室。该项目一期是土方开挖及基坑围护工程,为了确保工程的安全文明施工,广州珠江工程建设...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值